Je dois mettre mon organisation luxembourgeoise en conformité au considérant 102 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 102 RGPD — Considérant 102

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 102

Règlement général sur la protection des données · UE 2016/679

(102)

Le présent règlement s'entend sans préjudice des accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées. Les États membres peuvent conclure des accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales dans la mesure où ces accords n'affectent pas le présent règlement ou toute autre disposition du droit de l'Union et prévoient un niveau approprié de protection des droits fondamentaux des personnes concernées.

Spécificité Luxembourg

loi du 24 juillet 2015 (FATCA) et loi du 18 decembre 2015 (CRS), combinees a la circulaire CSSF 22/806

Au Luxembourg, les transferts au titre de FATCA et CRS par les établissements financiers vers l'Administration des contributions directes (ACD), puis vers l'IRS ou les juridictions partenaires, relevent de la loi du 24 juillet 2015 (FATCA) et de la loi du 18 decembre 2015 (CRS, transposant la directive 2014/107/UE). La CNPD a rappele que ces lois ne dispensent PAS les banques d'une analyse de transfert article 44-49 lorsque les destinations finales (USA, juridictions non-adequates) presentent des risques resitduels. La CSSF exige par ailleurs une documentation des flux dans le cadre de la circulaire 22/806 sur l'externalisation.

Pratique Luxgap : pour toute banque, PSF, fonds ou compagnie d'assurance luxembourgeois, nous documentons les flux FATCA/CRS dans un registre dedie qui croise les exigences CNPD (article 30) et CSSF (circulaire 22/806), en evitant le double registre redondant.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 102 rappelle que le RGPD coexiste avec les accords internationaux (entraide judiciaire, fiscalite, douanes, sécurité sociale). Le piège : croire qu'un traite bilateral suffit pour transférer des données hors UE alors qu'il doit prévoir un niveau approprié de protection equivalent au RGPD. La CNPD et la CNIL sanctionnent régulièrement les transferts faits au titre de conventions fiscales (FATCA, CRS) ou d'accords d'entraide sans garanties article 46 complementaires. Depuis Schrems II (CJUE 2020), aucun accord international ne dispense d'une analyse de transfert (TIA) si la protection effective dans le pays destinataire est insuffisante.

Les accords internationaux concernes et leurs angles morts

FATCA (USA) : transfert annuel des données bancaires des US persons par les banques luxembourgeoises a l'IRS, sans recours individuel équivalent au RGPD.
CRS / DAC (OCDE, UE) : échange automatique d'informations fiscales avec une centaine de juridictions, dont certaines sans décision d'adéquation.
Accords d'entraide judiciaire pénale (MLAT US-UE) : transmission de données à des autorités étrangères sur requisition.
Cloud Act US : conflit direct avec le RGPD, non couvert par un accord UE-US executif.
Accords sectoriels (PNR, TFTP) : surveilles de près par l'EDPB et régulièrement contestes devant la CJUE.
Conventions de sécurité sociale : transfert de données de salariés frontaliers, souvent sans TIA documentee.

La règle pratique : un accord international ne remplace JAMAIS l'analyse article 44-49. Il constitue au mieux une base légale au sens de l'article 6, jamais une garantie appropriée au sens de l'article 46.

Comment Luxgap automatise ce risque

Notre Luxgap Treaty Transfer Radar cartographie en temps reel l'ensemble de vos flux de données soumis à un accord international (FATCA, CRS, MLAT, conventions sociales, PNR) et les confronte automatiquement aux exigences RGPD residuelles, pour transformer ces transferts dits 'légaux' en transferts documentes et opposables. L'outil se connecte à votre core banking, votre paie, vos systèmes de déclaration fiscale et votre messagerie chiffree pour détecter chaque transmission soumise a un traite, sans demander à votre DPO d'inventorier manuellement.

Detecte automatiquement chaque flux soumis a un accord international en analysant les payloads sortants de votre core banking, SAP, Sage BOB 50 et Workday LU vers les destinataires fiscaux étrangers.
Classifie chaque transfert selon sa base juridique reelle (accord UE-pays tiers, accord bilateral état membre, décision d'adéquation, clauses contractuelles types) et signale les fondements obsoletes ou contestes.
Genere une analyse d'impact de transfert (TIA) prerempli par destination, integrant les recommandations EDPB 01/2020 et la jurisprudence post-Schrems II.
Alerte instantanement via Teams ou Slack quand un nouveau pays destinataire apparait sans évaluation préalable (typique des extensions CRS et des nouveaux partenaires d'entraide).
Croise vos destinataires avec la base EDPB des accords notifiés et signale les transferts faits au titre d'un accord non-conforme à l'article 96 RGPD.
Produit un registre des transferts horodate, crypto-signe, opposable a la CNPD et a la CSSF lors d'un contrôle conjoint.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux internationaux reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux transferts treaty-based avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 102

Ils nous font confiance

Avant de discuter